Commento alla sentenza Corte d’Appello di Venezia n. 3329 del 27 novembre 2025

Quando l’home banking subisce un attacco “man in the browser”: onere della prova e standard di sicurezza nelle operazioni di pagamento non autorizzate.

Con la sentenza n. 3329 del 27 novembre 2025, la Corte d’Appello di Venezia ha respinto integralmente l’appello proposto dalla banca e ha confermato la decisione del Tribunale di Venezia che aveva condannato l’istituto al risarcimento del danno in favore del correntista nella misura di euro 100.000,00, oltre interessi moratori maturati.

La pronuncia offre spunti di particolare interesse su due profili strettamente connessi: il riparto dell’onere della prova e lo standard di sicurezza che gli intermediari devono garantire nelle operazioni di pagamento non autorizzate eseguite tramite strumenti elettronici.

1. Il caso: bonifici online non autorizzati e contestazione del correntista

La controversia nasce dal rapporto di conto corrente intrattenuto da una società con un istituto di credito, con operatività tramite servizi di home banking.

A seguito di un accesso al portale online, dal conto della società venivano disposti alcuni bonifici di importo rilevante verso conti di terzi. La correntista disconosceva immediatamente tali operazioni, denunciandone la natura fraudolenta e rappresentando di essere stata vittima di un attacco informatico riconducibile al c.d. “man in the browser” (MITB).

La società:

  • contestava l’addebito delle operazioni;
  • evidenziava l’assenza di qualsiasi negligenza nella custodia delle credenziali;
  • imputava alla banca l’inadeguatezza dei sistemi di sicurezza adottati rispetto alla tipologia di attacco.

La banca, dal canto suo, sosteneva:

  • la correttezza delle procedure di autenticazione (accesso con user ID, password e utilizzo dei codici dispositivi);
  • la riconducibilità delle operazioni alla volontà del cliente, poiché eseguite mediante credenziali corrette;
  • la colpa grave della correntista, che non avrebbe adeguatamente protetto i propri dispositivi informatici.

2. Il quadro normativo: D.lgs. 11/2010 e riparto dell’onere della prova

La decisione si colloca nel perimetro del D.lgs. n. 11/2010, che disciplina i servizi di pagamento e, in particolare, le operazioni di pagamento non autorizzate.

In sintesi:

  • l’utente non sopporta le conseguenze economiche di un’operazione non autorizzata, salvo che abbia agito con frode o colpa grave (artt. 7 e 12);
  • l’onere della prova grava sulla banca, che deve dimostrare che l’operazione è stata autenticata, correttamente registrata e contabilizzata e non è stata influenzata da malfunzionamenti o altri inconvenienti (art. 10);
  • il semplice utilizzo delle credenziali dell’utente non basta a provare la volontà del cliente né a fondare automaticamente una colpa grave.

Questa disciplina speciale prevale sul regime generale dell’inadempimento contrattuale ex art. 1218 c.c. e delinea un quadro di responsabilità rafforzata in capo al prestatore dei servizi di pagamento.

3. La frode “man in the browser”: un rischio tipico dei servizi di pagamento

La Corte d’Appello qualifica l’accaduto come ipotesi di “man in the browser”, ricollegandolo ai malware di tipo trojan.

In estrema sintesi, secondo lo schema della frode:

  • il malware si insedia nel browser dell’utente senza che questi se ne accorga;
  • intercetta le comunicazioni e può modificare i dati inseriti (beneficiario e importo del bonifico);
  • l’utente visualizza un’operazione apparentemente corretta, mentre al sistema della banca giunge un ordine di pagamento alterato;
  • spesso l’attacco aggira anche i meccanismi di autenticazione forte, sfruttando una sessione già aperta validamente.

In questa dinamica la vittima segue una procedura formalmente corretta, non percepisce anomalie e non collabora consapevolmente alla frode. La riconducibilità tecnica dell’operazione alle credenziali dell’utente, dunque, non coincide con la prova di un comportamento gravemente imprudente.

4. Le questioni giuridiche affrontate in appello

La Corte affronta alcuni passaggi chiave:

  1. applicazione della disciplina speciale sui servizi di pagamento;
  2. estensione dell’onere della prova a carico della banca;
  3. ruolo e limiti della CTU informatica;
  4. configurabilità della colpa grave dell’utente in presenza di un MITB.

5. La decisione della Corte d’Appello di Venezia

5.1. Prevalenza della disciplina speciale

La Corte chiarisce che il caso rientra pienamente nel D.lgs. 11/2010. Da ciò discendono conseguenze rilevanti: non basta verificare la correttezza formale della procedura di autenticazione. La banca deve anche dimostrare l’adeguatezza complessiva dei propri sistemi di sicurezza rispetto ai rischi tipici del servizio.

La Corte individua nell’impostazione del primo giudice un errore di metodo: il Tribunale aveva valorizzato in modo eccessivo le risultanze della CTU senza calarle correttamente nel quadro della normativa speciale.

5.2. Onere della prova e ruolo della CTU

La Corte ribadisce un principio costante: la CTU non sostituisce la prova. Il consulente fornisce valutazioni tecniche su dati acquisiti, ma non può colmare l’inerzia probatoria delle parti.

Nel caso concreto, la perizia evidenziava il corretto funzionamento dell’infrastruttura della banca, ma non escludeva la possibilità dell’attacco MITB né dimostrava che l’istituto avesse adottato misure idonee a prevenire quel rischio specifico. Di conseguenza, l’intermediario non aveva assolto pienamente l’onere probatorio previsto dalla disciplina dei servizi di pagamento.

5.3. Condotta del cliente ed esclusione della colpa grave

La banca aveva attribuito alla società una gestione poco attenta di dispositivi e credenziali. La Corte, invece, osserva che:

  • la società aveva utilizzato il servizio secondo le modalità previste;
  • il malware agisce in modo silente;
  • non basta allegare genericamente una condotta disattenta: servono elementi concreti che dimostrino violazioni gravi e inequivoche delle regole elementari di diligenza.

In mancanza di tale prova, la colpa grave non può dirsi sussistente.

5.4. Responsabilità della banca e conseguenze economiche

Sulla base di queste premesse, la Corte:

  • respinge integralmente l’appello della banca;
  • conferma la condanna al risarcimento già riconosciuta dal Tribunale;
  • ribadisce che, in assenza di prova rigorosa della colpa grave dell’utente, l’intermediario sopporta le conseguenze economiche delle operazioni non autorizzate.

6. Profili applicativi e ricadute pratiche

La sentenza assume rilievo su più piani.

a) Per gli intermediari

La Corte riafferma che le frodi tramite malware evoluti rientrano nei rischi tipici della prestazione di servizi di pagamento. Gli intermediari devono progettare sistemi adeguati allo stato dell’arte, con monitoraggio delle anomalie, alert tempestivi e procedure efficaci di blocco delle operazioni sospette. Il rispetto formale dei protocolli di autenticazione, da solo, non basta.

b) Per i clienti

La pronuncia conferma che il solo utilizzo delle credenziali da parte del terzo non comporta automaticamente l’imputazione dell’operazione al cliente. Rimane comunque fondamentale conservare condotte prudenti: protezione dei dispositivi, aggiornamenti software, attenzione alle credenziali e conservazione della documentazione utile a ricostruire gli eventi.

c) Per il contenzioso

La decisione suggerisce un’impostazione difensiva costruita su:

  • ricostruzione tecnica puntuale dell’accaduto;
  • richiamo mirato alla disciplina speciale del D.lgs. 11/2010;
  • richiesta di una CTU con quesiti chiari e coerenti con il riparto degli oneri probatori.

7. Conclusioni

La sentenza della Corte d’Appello di Venezia n. 3329 del 27 novembre 2025 si inserisce in un orientamento che rafforza la tutela dell’utente nei pagamenti digitali e individua nella banca il soggetto chiamato a prevenire e gestire i rischi informatici dell’operatività online.

In presenza di frodi complesse come il “man in the browser”:

  • la responsabilità dell’intermediario non si esaurisce nella correttezza formale dell’autenticazione;
  • la banca deve provare l’adeguatezza dei propri presìdi di sicurezza e l’assenza di colpa grave del cliente;
  • la CTU non colma le lacune probatorie delle parti.

La pronuncia offre quindi un riferimento utile per operatori, imprese e professionisti coinvolti in controversie relative a operazioni di pagamento non autorizzate effettuate tramite home banking.